Det sier juridisk seniorrådgiver i Datatilsynet, Susanne Lie.
Virksomheter som samler informasjon om personer eller innbyggere er pålagt å gjennomføre en såkalt personvernkonsekvensvurdering (DPIA). Enkelt forklart skal en DPIA sikre at personvernet til de som får sine personopplysninger behandlet, er ivaretatt.
Lie understreker at Datatilsynet ikke har ført tilsyn med Bergen kommune i denne saken.
– Man skjønner at dette knytter seg til pandemien og at mange måtte kaste seg rundt. Det fritar en ikke fra plikten man har til å ivareta personvernet. Den står fast, også i en krisesituasjon, forklarer Lie.
Dette er saken:
– Vi mener at en så stor kommune som Bergen burde være godt rustet til å ha stor bevissthet rundt personvernkrav. At det ikke er gjort en vurdering av personvernkonsekvenser (DPIA), kan være et lovbrudd.
Trodde kravene var tilfredsstilt
I kommunen er det Personvernombudet som skal gjennomføre en DPIA. Han eller hun kan bli kontaktet av enheten som ønsker å gjøre arbeid som krever en slik gjennomgang.
BA har avdekket at Personvernombudet i Bergen ikke engang hadde hørt om den såkalte Hovedlisten for covid-19, som inneholder 46 datapunkter om over 120.000 innbyggere.
Kommunaldirektør for byrådsavdeling for helse og omsorg, Kjell Wolff, forteller i en e-post at han kjenner til listen og at den var viktig for kommunens arbeid med smittesporing under pandemien.
– Vi har hatt løpende dialog med etatens ledelse og opplever at de har vært opptatt av å ivareta personvernet. Etatens ledelse vurderte personvernet da listen ble laget.
– Hvorfor ble ikke Personvernombudet involvert i vurderingen av en slik datainnsamling?
– Etaten var i dialog med en rådgiver hos Personvernombudet da listen ble opprettet.
BA har fått tilgang til en e-post hvor ledelsen i Etat for helsetjenester diskuterer risikoene ved å etablere en Excel-fil for lagring av data. Der står det:
«Jeg kontaktet «Personvernombudet» med tanke på regelverk for lagring av helseopplysninger knyttet til arbeid med smitteoppsporing. Rådgiveren (BA har fjernet navnet på vedkommende) tok kontakt tilbake. Det ble oppgitt at det er mulig å etablere en tilgangsstyrt midlertidig mappe forbeholdt personell som arbeider med smitteoppsporing ... Det er ikke nødvendig å melde dette inn til Personvernombudet.»
– Kommunen var pliktig til å gjøre en DPIA. Hvorfor ble ikke det gjort?
– Vi forsto det slik at kravene til DPIA var tilfredsstilt, men når det nå stilles spørsmål ved dette, må vi undersøke i dialog med Personvernombudet om det er mangler ved vurderingene som ble gjort.
– Du sier at personvernrisikoen skulle være akseptabel. Var den det?
– Etat for helsetjenester har foretatt vurderingene knyttet til personvernrisiko, og vi må nå undersøke i dialog med Personvernombudet om det er mangler ved vurderingene som ble gjort.
Kenneth Oppedal var personvernombud i kommunen ved pandemiutbruddet og frem til høsten 2021. Han sier han ikke kjente til listen eller ble bedt om å vurdere personvernet.
– Det stemmer nok at jeg i min tid som ombud ikke har vært kjent med nevnte «Hovedliste». Jeg ser poenget med at denne listen har en sentral posisjon og nok burde vært gjenstand for nærmere oppfølging, forteller Oppedal.
Har alt ansvar
Susanne Lie i Datatilsynet mener at slik listen er beskrevet, er den å regne som et register. Frem til 2018 måtte man søke om konsesjon for å opprette registre.
– Nå ligger alt ansvar på virksomheten. De som behandler slike data må til enhver tid vite hvordan persondata skal håndteres, sier Lie.
Sterke reaksjoner på korona-listen. Byråden kalles inn på teppet.
Førsteamanuensis Malgorzata Cyndecka ved juridisk fakultet på UiB er svært skeptisk til hvordan kommunen har håndtert saken.
– En DPIA skal gjennomføres når den planlagte behandlingen vil kunne utgjøre en høy risiko for rettigheter og friheter til de som får sine personopplysninger behandlet. Formålet er å vurdere om man kan redusere denne risikoen til et akseptabelt nivå ved å bruke ulike tiltak eller ikke.
– Hvis man ikke klarer dette selv, skal man kontakte Datatilsynet for å få en forhåndsdrøftelse. Hvis risikoen fortsatt er for høy, kan man ikke gjennomføre den planlagte behandlingen.
Hun mener kommunen selv kunne avslørt eventuelle lovbrudd.
– En DPIA avklarer blant annet rettslig grunnlag for å behandle personopplysninger. Sånn sett kan en DPIA klart avsløre et brudd på GDPR, for eksempel mangel på rettslig grunnlag.
Kan få bøter
Datatilsynet kan innføre sanksjoner mot kommunen. I verste fall kan kommunen få bøter opp til 100 millioner kroner.
– Vi kan føre tilsyn og i ytterste konsekvens ilegge gebyr. Tilsyn vil vanligvis forutsette at vi mistenker et brudd på personvernregelverket, forteller Lie i Datatilsynet.
Hun forteller at reglene gjelder likt for både kommersielle selskaper og kommuner og stat, men at det er liten sannsynlighet for bøter i de høyeste summene for det offentlige.
– Forskjellen er at det offentlige har helt andre formål enn kommersielle virksomheter, sier Lie.
